Números mágicos de archivos

Escrito por Jose Rivera

24 mayo, 2021

Números mágicos de archivos

Los números mágicos son los primeros bits de un archivo que identifican de forma única el tipo de archivo. Esto facilita la programación porque no es necesario buscar estructuras de archivos complicadas para identificar el tipo de archivo.

Por ejemplo, un archivo jpeg comienza con ffd8 ffe0 0010 4a46 4946 0001 0101 0047 …… Jfif….. G ffd8 muestra que es un archivo JPEG e ffe0 identifican una estructura de tipo JFIF. Hay una codificación ascii de «JFIF» que viene después de un código de longitud, pero eso no es necesario para identificar el archivo. Los primeros 4 bytes lo hacen de forma única.

Esto proporciona una lista continua de números mágicos de archivos que puede utilizar en una investigación forense.

Archivos de imagenes

Tipo de archivoExtensión
típica
Dígitos hexadecimas
xx = variable
Dígitos ascii.
= no un ascii char
Formato de mapa de bits.bmp42 4dBm
Formato FITS.fits53 49 4d 50 4c 45sencillo
Formato GIF.gif47 49 46 38GIF8
Sistema de núcleos gráficos.gks47 4b 53 4dGKSM
Formato iris rgb.rgb01 da..
Formato ITC (CMU WM).itcf1 00 40 bb….
Formato de intercambio de archivos JPEG.jpgff d8 ff e0….
NIFF (TIFF de la Marina).nif49 49 4e 31IIN1
Formato PM.pm56 49 45 57vista
Formato PNG.png89 50 4e 47. PNG
Formato postscript. [e]ps25 21%!
Mapa ráster del sol.ras59 a6 6a 95Sí, J.
Formato Targa.tgaxx xx xx xx
Formato TIFF (Motorola – gran endian).tif4d 4d 00 2aMM.*
Formato TIFF (Intel – pequeño endian).tif49 49 2a 00II*.
Formato bitmap X11.xbmxx xx xx 
Estructura de archivos XCF Gimp.xcf67 69 6d 70 20 78 63 66 20 76gimp xcf
Formato Xfig.fig23 46 49 47#FIG
Formato XPM.xpm2f 2a 20 58 50 4d 20 2a 2f/* XPM */

Archivos de Documentos

Tipo de archivoExtensión
típica
Dígitos hexadecimas
xx = variable
Dígitos ascii.
= no un ascii char
PDF Document .pdf25 50 44 46 %PDF
Word Document .docD0 CF 11 E0 A1 B1 1A E1{ tf1
RTF Document.rtf7B 5C 72 74 66 31
Excel Document.xlsD0 CF 11 E0 A1 B1 1A E1
PowerPoint Document.pptD0 CF 11 E0 A1 B1 1A E1
Visio Document.vsdD0 CF 11 E0 A1 B1 1A E1
DOCX (Office 2010).docx50 4B 03 04PK
XLSX (Office 2010).xlsx50 4B 03 04PK
PPTX (Office 2010).pptx50 4B 03 04PK

Archivos comprimidos

Tipo de archivoExtensión
típica
Dígitos hexadecimas
xx = variable
Dígitos ascii.
= no un ascii char
Bzip.bz42 5aBz
comprimir. Z1f 9d..
formato gzip.gz1f 8b..
formato pkzip.zip50 4b 03 04Pk..

Archivos de archivadores

Tipo de archivoExtensión
típica
Dígitos hexadecimas
xx = variable
Dígitos ascii.
= no un ascii char
TAR (pre-POSIX).tarxx xx xx(un nombre de archivo)
TAR (POSIX).tar75 73 74 61 72ustar (compensado por 257 bytes)

Archivos ejecutables

Tipo de archivoExtensión
típica
Dígitos hexadecimas
xx = variable
Dígitos ascii.
= no un ascii char
MS-DOS, OS/2 o MS Windows 4d 5aMZ
Unix elf 7f 45 4c 46. duende

Otros archivos

Tipo de archivoExtensión
típica
Dígitos hexadecimas
xx = variable
Dígitos ascii.
= no un ascii char
anillo público pgp 99 00..
anillo de seguridad pgp 95 01..
anillo de seguridad pgp 95 00..
datos cifrados pgp a6 00¦.

Un comando en linux que puede utilizar para ver el número mágico de un archivo es el siguiente

xxd test.zip | head
numero magico test zip

Tambien podemos buscar los números mágicos especificos de un archivo buscandolos con el apendice de comando ‘grep»

xxd output.png | grep "PK"

Que buscará los números mágicos (PK es el equivalente ASCII de 50 4b) de un archivo zip entre los hexágx, y obtendremos la siguiente salida:

Lea esta noticia similar  Cuándo es más frecuente que sufras un ataque ransomware
numero magico output png PK

Fuentes: Github, Bill’s security site

Escrito por Jose Rivera

Vea otras noticias interesantes:

Síganos en nuestras redes sociales

Le compartiremos contenido valicioso para que se mantenga actualizado en el campo

Nuestros cursos

SOC 1 (2023): Security Basics for Analysts

Conozca sobre nuestro curso de analista en Ciberseguridad y adéntrese en el mundo de los delitos informáticos y como proteger a las empresas ente los ataques

0 Comentarios

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *